Risultati
131 risultati
-
italia
Marketing mix: le differenze tra il tradizionale e il digitale
Vuoi raggiungere un target più ampio? Usa una logica collaborativa. Quando esistono fabbisogni comuni per servizi affini e/o analoghi, puoi decidere di collaborare con altre organizzazioni. Pianifica obiettivi, strategie ed azioni in co-marketing o partnership. In questo modo riuscirai ad arricchire la tua offerta e amplificherai il tuo messaggio. Se devi promuovere un servizio territoriale probabilmente potrai trovare diversi partner limitrofi. DEVI. Individuare il partner giusto e pianificare insieme gli obiettivi, l’oggetto delle azioni i ruoli nell’iniziativa di co-marketing. Creare un piano d’azioni condiviso che stabilisca in maniera precisa chi fa cosa e come. DOVRESTI. Valorizzare le specificità di ciascun soggetto coinvolto, attraverso una comunicazione puntuale e mirata. Comprendere al meglio il ruolo e il target di ciascuno. POTRESTI. Sperimentare il co-marketing per la promozione di un solo servizio e poi definire una strategia che comprenda una serie di attività da pianificare rispetto alle esigenze di entrambi e alla risposta dei cittadini ...
-
italia
Gli strumenti per il marketing
Finora sono state presentate regole, raccomandazioni, consigli e suggerimenti finalizzati a elaborare e attuare strategie di marketing capaci di intercettare in modo diretto e puntuale i fabbisogni del cittadino. Ora cerchiamo di capire come farsi trovare! PA e Cittadino sono alla costante ricerca l’uno dell’altro perché entrambi hanno bisogno di parlarsi in modo più diretto, facile e frequente. Nell’oceano di informazioni accendere il “faro” che può illuminare la tua rotta è fondamentale. Utilizza il Search Engine Optimization (SEO) e il Search Engine Marketing (SEM) per posizionarti correttamente nei risultati di ricerca e farti trovare più facilmente. Attraverso queste tecniche puoi far si che:. il sito della tua PA aumenti il numero delle visite tramite il traffico generato naturalmente dai motori di ricerca più utilizzati (es: Google, Yahoo, Bing, ecc…);. l’esperienza online con la tua PA digitale del cittadino/utente sia la migliore possibile in modo che sia spinto a tornare a farti visita sul web tante altre volte e diventare da semplice conoscitore ad abituale fruitore dei servizi digitali. Nelle Linee Guida di Design per i servizi digitali della PA troverai tutti i riferimenti utili per impostare una corretta strategia SEO e SEM ...
-
italia
Perché una PA marketing-oriented?
Il piano di marketing è un insieme di obiettivi, strategie, strumenti ed azioni che ti consentono di identificare:. in maniera puntuale i fabbisogni dei cittadini a cui ti vuoi rivolgere;. la giusta strategia per promuovere i vantaggi che derivano dall’utilizzo dei servizi digitali che la tua amministrazione sta progettando o ha già reso disponibili. Per costruire un piano di marketing devi prima analizzare l’ambiente, il contesto e il target. Puoi partire iniziando a rispondere a queste domande preliminari:. Dove ti trovi?. Analizza l’ambiente e il contesto oltre che i fabbisogni dei tuoi cittadini, per individuare tutti (o quasi) gli elementi che caratterizzano il tuo mercato. Cosa vuoi ottenere?. Ragiona sugli obiettivi che vuoi raggiungere attraverso le tue azioni di marketing. A chi vuoi parlare?. Identifica il tuo target, non tutti i servizi e non tutti i cittadini a cui ti rivolgi sono uguali. Quali sono le tue risorse?. Stabilisci da subito un budget da destinare alle azioni di marketing. Come agire?. Metti a punto le azioni necessarie, definisci contenuti e canali. Come è andata?. Monitora i risultati per verificare se la strategia sta funzionando, oppure per apportare le modifiche necessarie. Nei paragrafi successivi troverai indicazioni utili per affrontare ognuna di queste fasi. Dove ti trovi? Esplora la realtà che ti circonda. Analizza l’ambiente e il contesto. Per individuare come cominciare a promuovere i tuoi servizi digitali è importante avere un’idea di quali sono gli elementi che influiscono sull’utilizzo del servizio da parte dei cittadini. Valuta gli elementi esterni, le sfide e le opportunità che nascono “intorno al servizio”. DEVI. Comprendere i bisogni dell’utente: partire dalla conoscenza delle sue necessità ti aiuterà a stabilire il “punto zero” per definire obiettivi di marketing sostenibili. Conoscere a fondo le caratteristiche del tuo servizio e capire quali bisogni soddisfa e quale valore può aggiungere alla vita dei cittadini. DOVRESTI. Confrontare la tua esperienza con casi di successo di altre amministrazioni che erogano servizi simili, ma anche di soggetti diversi dall’ amministrazione pubblica. Pensaci, puoi confrontare il tuo servizio anche con quello che viene erogato da un privato. Potresti trovare spunti molto interessanti!. POTRESTI. Includere nell’analisi altri elementi dello scenario che ritieni abbiano un ruolo importante. Ad esempio l’età media della tua popolazione di riferimento. Cosa vuoi ottenere? Definisci gli obiettivi. Non dimenticare le esigenze e le caratteristiche specifiche degli utenti che vuoi raggiungere: ad obiettivi diversi corrispondono strategie differenti. I tuoi obiettivi dovranno essere:. chiari;. misurabili;. definiti nel tempo;. coerenti tra loro. DEVI. Misurare gli obiettivi dal punto di vista quantitativo e qualitativo per monitorarne l’andamento nel tempo. Ad esempio puoi decidere di rivolgerti in una prima fase solo ad un certo tipo di target e capire che tipo di risposta ottieni. DOVRESTI. Affrontare gli obiettivi in maniera sostenibile, tenendo conto delle capacità dell’organizzazione. POTRESTI. Avviare delle attività continue di monitoraggio dei tuoi destinatari per verificare nel tempo la rispondenza dei tuoi obiettivi. A chi vuoi parlare? Identifica il tuo target. Traccia un profilo ideale del tuo target. Non solo dati anagrafici, ma anche dati allo stile di vita: ad esempio l’uso della tecnologia e variabili contingenti che possono influire sulla fruizione del servizio digitale. Ricorda che, quando si parla di servizi pubblici, il cittadino è anche imprenditore, professionista, studente, persona giuridica, e così via. A queste diverse “identità” corrispondono diverse risposte in termini di azioni da realizzare. DEVI. Definire il tuo target in maniera chiara. Solo così potrai pianificare attività di marketing puntuali. A chi parli? Dove passano il loro tempo, quali sono i servizi di cui hanno bisogno, e dove cercano informazioni le persone che vuoi raggiungere?. DOVRESTI. Studiare a fondo le dinamiche più profonde dell’ ambiente sociale entro cui il tuo target si muove e compie le sue scelte. POTRESTI. Utilizzare le informazioni raccolte, soprattutto i feedback degli utenti, per organizzare meglio il lavoro interno della tua amministrazione, non solo del tuo ufficio. Analizza i fabbisogni dei cittadini per soddisfare meglio le loro richieste (Analisi della domanda). Capire i reali fabbisogni dei cittadini ai quali devi rivolgerti ti permette di definire strategie personalizzate di marketing dei servizi. DEVI. Capire che tipo di informazioni possono realmente creare valore per il tuo target di riferimento. DOVRESTI. Capire anche quali sono i bisogni inespressi. POTRESTI. Far ricorso ad indagini di mercato o di customer satisfaction per approfondire le caratteristiche dei tuoi utenti. Quali sono le tue risorse? Definisci il budget (e pianifica i controlli). Una volta che hai compreso dove ti trovi, cosa vuoi ottenere e qual è il tuo target, puoi stabilire le risorse necessarie per la promozione del tuo servizio. Cerca di bilanciare gli obiettivi che ti sei dato con la sostenibilità economica dell’attività di promozione. Ricorda che si possono raggiungere risultati di marketing interessanti anche con budget contenuti, soprattutto quando si utilizzano gli strumenti digitali. Controlla in ogni fase l’andamento delle tue azioni e verifica a che punto del percorso ti trovi rispetto al tuo traguardo. Se incontri degli ostacoli, puoi correggere la gestione in corso d’opera. Delinea la strategia. La pianificazione strategica è la fase in cui metti insieme tutte le informazioni raccolte e prepari la tattica per promuovere al meglio i tuoi servizi. Le strategie di marketing per la promozione dei servizi digitali devono essere modellabili e modulabili, a seconda del soggetto che vuole comunicare, delle comunità con cui intende interagire e dell’ambito in cui si vuole operare. Dovrai scegliere le strategie di presidio più vantaggiose a seconda del tipo di servizio che vuoi promuovere, per questo è importante che tu tenga presente che sono fondamentali:. la pianificazione: ovvero abbracciare una visione di insieme di quello che può fare il marketing per la promozione dei tuoi servizi;. il sistema di monitoraggio: che includa l’ascolto continuativo come primo elemento della strategia. DEVI. Definire gli elementi della tua strategia in un arco di tempo preciso. Cerca di capire in quanto tempo vuoi raggiungere un obiettivo e quando è più opportuno avviare le azioni necessarie. DOVRESTI. Definire anche poche azioni mirate per raggiungere risultati importanti. POTRESTI. Decidere di implementare la tua strategia sulla base dei risultati del monitoraggio specifico del tuo target. Come è andata? Il monitoraggio. Il monitoraggio ti aiuterà a stabilire se c’è qualcosa che non sta funzionando e a capire dove intervenire in maniera tempestiva. La raccolta e la condivisione di dati ti consente di capire se gli obiettivi che vuoi raggiungere sono sostenibili. DEVI. Monitorare sempre le attività che hai pianificato, sia in fase di analisi preliminare, sia per valutare se le strategie sono in linea con i tuoi obiettivi. DOVRESTI. Utilizzare le informazioni raccolte per definire la capacità produttiva della tua organizzazione e tarare quindi meglio gli biettivi di marketing e promozione dei tuoi servizi. POTRESTI. Creare indicatori di performance che siano specifici per i servizi che hai deciso di promuovere. La customer satisfaction. Leggi e consulta i dati che hai raccolto con il monitoraggio per avere sempre presente il grado di soddisfazione del cittadino rispetto alle attività e ai servizi della tua PA. Utilizza modelli semplici e diretti e condividili in modo capillare ai vari livelli dell’organizzazione in maniera tale da rendere ancora più efficace la definizione degli obiettivi, delle strategie e delle azioni che la tua PA potrà mettere in campo per creare connessioni più vicine ai cittadini e aumentare il grado di soddisfazione e di fidelizzazione. Può capitare che la qualità erogata differisca da quella percepita dal destinatario. Mettiti nei panni dei tuoi cittadini per valutare correttamente il servizio in base alle sue aspettative e all’idea che ha della PA che lo offre. Crea un programma di gestione di un eventuale disservizio che ti aiuti a reagire tempestivamente all’imprevisto, recuperando la fiducia del cittadino che lo ha subito ed evitando situazioni che possano compromettere la tua relazione con lui. DEVI. Fare sempre un’analisi sulla customer satisfaction sulla qualità del servizio offerto e le sue modalità di erogazione. DOVRESTI. Mixare i dati e le informazioni, sia quelle che hai a disposizione sia quelle reperibili dai diversi canali utilizzati (digitali e non) per conoscere fino in fondo il comportamento degli utenti. POTRESTI. Usare i dati che hai raccolto per organizzare campagne che possano mettere al centro le esigenze del cittadino, come il numero di utenti che ha già utilizzato uno specifico servizio ...
-
italia
Analytics, Listening e Social Insights
Una lettura sistematica dei dati di Web analytics ti consente di capire quante persone sono interessate al tuo servizio (leggono le notizie o gli approfondimenti che proponi) e ti consentono di programmare l’avvio di azioni correttive o migliorative sulla promozione dei servizi digitali (vedi le Linee guida di design ). Attiva iniziative di “listening”, monitorando le conversazioni online e sui social per definire le tue strategie di comunicazione, marketing o storytelling. L’ascolto del sentiment online aiuta a comprendere meglio le dinamiche intrinseche e profonde della comunicazione e del punto di vista degli utenti sul servizio che vuoi promuovere. Ricordati di concentrare la tua attività di ascolto scegliendo temi e parole chiave che rispondano agli obiettivi e le finalità della tua amministrazione e del servizio che stai promuovendo. Dagli “insight” dei tuoi social puoi reperire dati preziosi sul comportamento online degli utenti (analisi del sentiment) e in base a questi organizzare o ri-organizzare attività di comunicazione e promozione realmente tarate sui bisogni espressi. Puoi trovare questi dati negli “Insight” su Facebook e negli “Analytics” su Twitter. Monitorare con continuità i dati delle pagine social per capire come indirizzare la programmazione. Condividere i risultati numerici con il gruppo di lavoro per attuare azioni correttive, coerenti con la strategia di comunicazione complessiva. Associare Insights e Analytics per monitorare i risultati della comunicazione a tutto tondo. Ad esempio: verificando se una call to action in un post organico di Facebook si traduce in visite effettive al sito web o alla pagina di un servizio specifico, e se eventualmente sia necessario un investimento promozionale. Usare i dati raccolti per raccontare il tuo servizio, invogliando gli utenti a sentirsi parte di una comunità. Condividere i risultati delle tue strategie in formato aperto come fonte utile anche alle altre amministrazioni per ridefinire la strategia di comunicazione ...
-
italia
Le techiche di storytelling
Il racconto può essere fatto anche per immagini (visual storytelling) utilizzando foto, video, infografiche o animazioni. Le immagini possono essere accompagnate da una voce registrata o da brevi sottotitoli descrittivi in modo da chiarire il messaggio in maniera inequivocabile. Nel raccontare attraverso immagini è necessario individuare uno stile visivo consono alla tua amministrazione e tener conto dell’immaginario visivo del tuo pubblico. Puoi scegliere di raccontare i tuoi servizi in modo dinamico e interattivo utilizzando le immagini o un mix di elementi visivi, prestando attenzione anche al mezzo che utilizzi per diffondere la tua storia. DEVI. Individuare il modello narrativo adatto al tuo servizio digitale e agli aspetti che vuoi raccontare con le immagini. DOVRESTI. Comprendere nella tecnica di narrazione scelta delle soluzioni di visual storytelling per aggiungere creatività e unicità alla tua storia. Creare anteprime o spoiler della tua storia usando le storie di facebook o instagram. POTRESTI. Coinvolgere i dipendenti o i cittadini come storyteller per raccontare pezzi della loro storia che valorizzino ancora di più il tuo racconto ...
-
italia
Definisci il piano di comunicazione o le linee guida in breve
Metti a punto un piano che ti aiuti a gestire la comunicazione della tua amministrazione in situazioni di emergenza relative alla fruizione di un servizio. Sicuramente ti capiterà di dover gestire critiche derivanti da incomprensioni, problemi tecnici o malfunzionamento del servizio. Non spaventarti! La comunicazione, se gestita bene, ti aiuterà ad affrontare anche questa situazione. DEVI. Comunicare tempestivamente sia con i media che con i tuoi interlocutori. Non farti cogliere impreparato, devi agire e non re-agire. Prendi per primo la parola e spiega cosa sta accadendo senza negare il problema né trincerarti dietro no comment. DOVRESTI. Identificare le responsabilità interne al team di comunicazione in caso di crisi. Ognuno deve sapere cosa fare e come farlo. Se sei da solo non scoraggiarti, definisci una policy semplice e chiara che in caso di emergenza ti aiuterà ad identificare le priorità. POTRESTI. Individuare le situazioni di critiche che potresti trovarti a gestire rispetto al funzionamento dei servizi digitali offerti dalla tua amministrazione in modo da identificare modalità di comunicazione e tipologia di messaggi da diffondere ...
-
AGID
12. Modelli di analisi e valutazione dei risultati raggiunti
Volume di informazioni prodotte dal CERT (avvisi, bollettini, rapporti). Numero di accessi alle informazioni fornite dal CERT. Numero di richieste raccolte dalla constituency. Quantità di informazioni presentate alla propria constituency su tematiche di cyber security o sulle attività in corso. Perdite monetarie totali derivanti da attacchi cyber subite dalla constituency servita dal CERT (normalizzate rispetto alle dimensioni della constituency). Capacità di offrire servizi in termini di numero e/o qualità rispetto ai propri peer (ciò può essere misurato sia effettuando la valutazione rispetto a standard o best practice di settore, sia effettuando una misurazione comparativa dei risultati dei peer in situazioni analoghe). Disponibilità di finanziamenti sufficienti. Numero totale di membri dello staff. Assegnazione tra i membri dello staff di esperti legali e di comunicazione specializzati. Assegnazione di personale specializzato in discipline tecniche (analisi del codice, analisi forense, ecc.). Livelli di istruzione / formazione dei membri dello staff. Frequenza e qualità della formazione interna su aspetti tecnici specialistici. Numero di esercitazioni cyber condotte dal CERT internamente. Livello di conformità dei processi e delle procedure del CERT a standard e specifiche normative (può essere determinato attraverso l’ottenimento di certificazioni o attività di audit). Capacità di proteggere la confidenzialità dei dati e delle informazioni durante le proprie operazioni (ad esempio durante il processo di gestione di un incidente). Livello di utilizzo delle risorse del CERT rispetto alla sua effettiva capacità (si noti come un elevato utilizzo delle risorse possa portare da un lato a tempi di risposta migliori e/o indicare una migliore allocazione, mentre dall’altro il pieno utilizzo potrebbe essere un indicatore del raggiungimento della capacità massima con possibili ripercussioni nella capacità di erogare altri servizi). Capacità del CERT di stabilire canali di comunicazione che permettono una trasmissione efficiente dei dati e delle informazioni (sia verso l’interno che verso l’esterno). Livello di soddisfazione della constituency (customer satisfaction), determinabile attraverso survey e questionari. Capacità del CERT di effettuare le proprie operazioni senza necessità di supporto esterno (un eccessivo ricorso a capacità esterne potrebbe essere un indicatore di risorse inadeguate o insufficienti a supporto dei servizi) ...
-
AGID
3. Indicazioni per AGID
Presidiare la tematica della sicurezza significa anche verificare che siano costantemente disponibili, per le amministrazioni, adeguati (e sicuri) strumenti di acquisizione di prodotti e servizi ICT. A tale scopo, AGID propone di tener conto anche di questo obiettivo nel pianificare, di concerto con la Consip, la tempistica delle gare che interessano sistemi e progetti critici sotto l’aspetto della sicurezza, evitando ad esempio situazioni in cui convenzioni e/o accordi quadro siano esauriti e i successivi non siano ancora disponibili perché le relative gare sono ancora da aggiudicare ...
-
AGID
1. Premessa
DR-1. ISO 22317 - Linee guida per Business Impact Analysis. https://www.iso.org/standard/50054.html. DR-2. ISO 27001 - Sistema di Gestione della Sicurezza delle Informazioni. https://www.iso.org/isoiec-27001-information-security.html. DR-3. ISO 31000 Risk Management. https://www.iso.org/iso-31000-risk-management.html. DR-4. Linee guida sviluppo software sicuro. https://www.agid.gov.it/it/sicurezza/cert-pa/linee-guida-sviluppo-del-software-sicuro. DR-5. Misure minime di sicurezza AGID. https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict. DR-6. ISO 15408 Standard Common Criteria. https://www.iso.org/standard/50341.html ...
-
AGID
Linee guida sicurezza nel procurement ICT
La consultazione pubblica relativa al presente documento è attiva dal 14 maggio al 13 giugno 2019. Questo documento raccoglie il testo delle Linee guida sicurezza nel procurement ICT, disponibile per la consultazione pubblica ...
-
AGID
5. Appendice A – Requisiti di sicurezza eleggibili
Nelle tabelle che seguono sono elencati alcuni requisiti di sicurezza che le amministrazioni possono inserire nei propri capitolati di gara. L’elenco non è esaustivo, ha solo lo scopo di offrire alcuni esempi significativi e di favorire un lessico comune nell’esprimere requisiti di sicurezza. Per ragioni di sintesi, il testo di alcuni requisiti (ad esempio di R1) è stato generalizzato in modo da renderlo un modello per una “famiglia di requisiti”, da declinare ed eventualmente suddividere in più requisiti elementari, a seconda del contesto della singola acquisizione. R1. Il fornitore deve adottare al proprio interno le procedure e politiche di sicurezza definite dall’amministrazione committente, con particolare riferimento alle modalità di accesso ai sistemi dell’amministrazione, all’hardening (esempio installazione di soluzioni di end point security) dei dispositivi utilizzati dal fornitore, alla gestione dei dati dell’amministrazione. R2. Il fornitore deve possedere la certificazione ISO/IEC 27001 e mantenerla per tutta la durata della fornitura. R3. (alternativo al precedente) Anche se il fornitore non è certificato ISO/IEC 27001, almeno deve usare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) aggiornato nel tempo. R4. Il fornitore deve far eseguire annualmente un audit sul proprio sistema di sicurezza, a proprie spese e da una società specializzata scelta previa approvazione della stazione appaltante. NB: Qualora applicabile, tale attività si incrocia con il requisito R2 (le verifiche dell’Ente Certificatore hanno cadenza pressoché annuale). R5. L’amministrazione può, con un preavviso di 20 giorni solari, richiedere ulteriori attività di auditing secondo modalità concordate con il fornitore. Le risultanze di tali audit verranno comunicate all’amministrazione. R6. L’amministrazione, direttamente o tramite terzi incaricati, può eseguire verifiche relative alla conformità della prestazione dei servizi rispetto a quanto stabilito nel capitolato tecnico oltre che nell’offerta tecnica se migliorativa. R7. Il personale del fornitore che presta supporto operativo nell’ambito dei servizi di sicurezza dovrà possedere certificazione su specifici aspetti della sicurezza. R8. Il fornitore deve disporre di una struttura per la prevenzione e gestione degli incidenti informatici con il compito d’interfacciarsi con le analoghe strutture dell’amministrazione e con le strutture centrali a livello governativo. R9. Il fornitore deve dotarsi delle misure minime di sicurezza per limitare il rischio di attacchi informatici (riferimento DR-5). R10. Il SOC del fornitore deve sovrintendere alla gestione operativa e continuativa degli incidenti informatici sui servizi erogati nell’ambito della fornitura. R11. Il fornitore deve garantire il rispetto di quanto richiesto dalla normativa vigente in materia di sicurezza cibernetica, anche in riferimento ai contenuti del GDPR. R12. Sulle reti messe a disposizione dal fornitore devono essere presenti di dispositivi di sicurezza perimetrale con funzioni di sicurezza (ad esempio Firewall e sistemi di Network Detection ed Event & Log Monitoring, SIEM, ecc.) necessari a rilevare e contenere eventuali incidenti di sicurezza ICT e in grado di gestire gli IoC (Indicator of Compromise). R13. Il fornitore deve usare protocolli cifrati e meccanismi di autenticazione nell’ambito dei servizi erogati. R14. Qualora il fornitore subisca un attacco, in conseguenza del quale vengano compromessi sistemi del committente da lui gestiti, deve farsi carico delle bonifiche del caso, e riportare i sistemi in uno stato di assenza di vulnerabilità. R15. Il fornitore si impegna a trattare, trasferire e conservare le eventuali repliche dei dati oggetto di fornitura, ove autorizzate dalle amministrazioni, sempre all’interno del territorio dell’UE. R16. Il fornitore deve dare disponibilità a far parte di un Comitato di Direzione Tecnica, eventualmente aperto anche a soggetti terzi, che tratti il tema della sicurezza, sia nell’ottica di favorire la risoluzione di temi aperti sia per introdurre eventuali varianti al contratto per fronteggiare nuove minacce o altro. R17. Il fornitore deve condividere le informazioni necessarie al fine di garantire il corretto monitoraggio della qualità e della sicurezza, eventualmente pubblicando le stesse nel portale della fornitura. R18. Il fornitore si impegna a sottoscrivere una clausola di non divulgazione (NDA) sui dati e sulle informazioni dell’amministrazione. R19. Le soluzioni e i servizi di sicurezza proposti dal fornitore devono essere aggiornati dal punto di vista tecnologico, con riferimento all’evoluzione degli standard e del mercato; devono essere conformi alle normative e agli standard di riferimento applicabili; devono venire adeguati nel corso del contratto, senza oneri aggiuntivi, alle normative che l’UE o l’Italia rilasceranno in merito a servizi analoghi. R20. Il fornitore deve attenersi alla politica di sicurezza dell’amministrazione committente, con particolare riferimento all’accesso ai dati dell’amministrazione, che avverrà esclusivamente sui sistemi di sviluppo e test. R21. In fase di analisi, il fornitore deve definire le specifiche di sicurezza (non funzionali) a partire dai requisiti espressi dall’amministrazione. R22. In fase di progettazione codifica, il fornitore deve implementare le specifiche di sicurezza nel codice e nella struttura della basedati. R23. Al termine del progetto, il fornitore deve rilasciare tutta la documentazione necessaria all’amministrazione per gestire correttamente quanto rilasciato anche sotto l’aspetto della sicurezza. R24. Supporto di protocolli sicuri e cifrati (HTTPS, SSH v2, ecc.). R25. Filtraggio di indirizzi IP. R26. Supporto di protocolli di autenticazione (ad esempio RADIUS, IEEE 802.1X, ecc.). R27. Gestione di più profili con privilegi diversi. R28. Funzionalità di “richiesta creazione o cambio della password al primo accesso”. R29. Blocco dell’utenza dopo un numero definito (fisso o variabile) di tentativi falliti di accesso. R30. Gli accessi degli utenti devono essere registrati su un archivio (log) non cancellabile con il reset. R31. Gestione dei log di sistema (accessi, allarmi, ecc.). R32. Il fornitore (anche in collaborazione con il produttore della tecnologia) deve offrire processi, unità organizzative e strumenti dedicati alla gestione di vulnerabilità scoperte sui prodotti oggetto della fornitura. R33. Per gli apparati proposti deve essere disponibile documentazione tecnica (schede tecniche, manuali, guide operative) relativa alla corretta configurazione e gestione degli aspetti di sicurezza. R34. I meccanismi di autenticazione devono essere basati su meccanismi di crittografia asimmetrica, a chiave pubblica; la lunghezza delle chiavi va impostata sulla base della criticità della comunicazione da cifrare (ad esempio 256 bit per le meno critiche, 512 bit per le più critiche). La gestione e distribuzione delle chiavi e dei certificati è a carico del fornitore. R35. Autorizzazione: sulla base delle credenziali fornite dall’utente, si devono individuare i diritti e le autorizzazioni che l’utente possiede e permetterne l’accesso alle risorse limitatamente a tali autorizzazioni. R36. Confidenzialità nella trasmissione dei dati: le comunicazioni tra la componente di gestione remota centralizzata e la componente locale installata presso la sede dell’amministrazione devono essere cifrate. R37. Fornire meccanismi che permettano di garantire l’integrità di quanto trasmesso (ad esempio meccanismi di hashing). R38. Il fornitore deve descrivere nel dettaglio le soluzioni tecniche utilizzate (dispositivi hardware e software impiegato, modalità operative, politiche di sicurezza, …) per soddisfare i requisiti di sicurezza dell’amministrazione committente. R39. In fase di attivazione del servizio, il fornitore deve concordare con l’amministrazione le modalità operative e le politiche di sicurezza, i livelli di gravità degli incidenti, le attività e le contromisure che dovranno essere svolte per contrastare le minacce. R40. Il fornitore dovrà attenersi alle politiche di sicurezza definite dalla committente, con particolare riferimento alla definizione di ruoli e utenze per l’accesso ai sistemi gestiti. R41. In caso di necessità, da parte degli operatori, di accesso a Internet, il fornitore deve utilizzare un proxy centralizzato e dotato di configurazione coerente con la politica di sicurezza definita dall’amministrazione. R42. In caso di rilevazione di un incidente di gravità elevata (con scala da definire a inizio fornitura), il fornitore deve dare immediata notifica, tramite canali concordati con l’amministrazione, dell’incidente rilevato e delle azioni da intraprendere, al Responsabile della Sicurezza indicato dall’amministrazione e al CERT-PA. R43. Per ogni incidente di sicurezza, il fornitore s’impegna a consegnare all’amministrazione, entro il giorno successivo, un report che descriva la tipologia di attacco subito, le vulnerabilità sfruttate, la sequenza temporale degli eventi e le contromisure adottate. R44. Su richiesta dell’amministrazione, il fornitore deve consegnare i log di sistema generati dai dispositivi di sicurezza utilizzati, almeno in formato CSV o TXT. Tali log dovranno essere inviati all’amministrazione entro il giorno successivo a quello in cui è avvenuta la richiesta. R45. Il fornitore deve monitorare la pubblicazione di upgrade/patch/hotfix necessari a risolvere eventuali vulnerabilità presenti nei dispositivi utilizzati per erogare i servizi e nelle infrastrutture gestite. Entro il giorno successivo al rilascio dell’upgrade/patch/hotfix, il fornitore deve avviare una valutazione, da rilasciarsi entro un numero giorni da stabilirsi, propedeutica all’installazione delle stesse sui dispositivi di sicurezza, che ad esempio identifichi la possibilità di applicare la patch immediatamente, o la necessità di apportare MEV o integrazioni prima di procedere alle installazioni ...
-
AGID
4. Indicazioni per le centrali di committenza
Si premette che le indicazioni elencate nei paragrafi precedenti si applicano, in generale, anche alle centrali di committenza. In particolare, le azioni AP2, AP3 e AP4 sono da ritenersi obbligatorie, per le centrali di committenza, quando queste svolgano iniziative di acquisizione ICT nell’interesse di Ministeri, Enti centrali, Regioni e città metropolitane. In aggiunta, si ritiene che le centrali di committenza, per il ruolo che hanno nelle acquisizioni pubbliche di beni e servizi, possono fungere da enti attuatori di miglioramenti/evoluzioni per gli aspetti di sicurezza delle forniture ICT. Anche sulla base dei risultati della rilevazione citata al paragrafo precedente, si propone alle centrali di committenza di:. inserire clausole di compliance alle indicazioni in materia di sicurezza sulle gare in corso che passi attraverso anche i comitati di governo (per le gare che li prevedono);. prevedere, per le gare che comprendono gestione di sistemi o fornitura di servizi di sicurezza, non solo flussi informativi sugli eventi critici verso l’amministrazione contraente, ma anche verso il CERT-PA e gli altri organismi a presidio della sicurezza cibernetica;. per le gare che prevedono centri servizi o servizi web, qualora si ritenga applicabile la misura, verificare la sicurezza tramite vulnerability assessment e penetration test. Il governo di queste verifiche potrebbe essere a cura di un organismo centrale (CVCN, CERT-PA, altri) in collaborazione col comitato di governo della fornitura;. sensibilizzare i fornitori al fine di anticipare le tendenze e le possibili problematiche di sicurezza che possono presentarsi (consultazioni di mercato mirate alla sicurezza);. costruire, in accordo con ANAC, un elevato livello di cultura e formazione delle Commissioni di valutazione delle gare in ambito sicurezza (vedi paragrafo 2.2.4);. svolgere un ruolo di omogeneizzatore/armonizzatore degli approcci di sicurezza e delle tecnologie di sicurezza erogati nell’ambito delle forniture della PA ...